在与技术日益复杂的黑客的无休止的斗争中, 企业必须迁移到新的安全模式来保护自身.本文将探讨实时监控和分析在上个月发生的RSA SecurID数据泄露事故中发挥的重要作用.
距离RSA SecurID(著名的双因素身份验证用户令牌系统)遭受数据泄露事故已经过去四个多星期了.在一些大型企业和政府机构的良好口碑使这个系统长期以来一直被认为是无法攻破的系统.然而,到最后,就像大部分安全泄漏事故一样,这个系统还是因为人为失误而被攻破,而不是技术中存在的漏洞问题.
我们非常有必要弄清楚这个泄漏事故发生的原由,因为从中可以分析现有用户安全模式存在的漏洞.这也是为什么很多专家建议大家部署新的全面的安全模式来建立新的保护水平,以帮助公司以及个人对抗日益复杂的网络攻击.虽然所有细节信息尚未公开(RSA暂时不准备公布数据泄露的细节信息以防其他攻击者模仿攻击), 但是已有的信息可以供公司学习以防止类似攻击.
那么,究竟发生了什么事情呢?概括地说, 一封网络钓鱼电子邮件被发送给某些低级别的员工,邮件标题是”2011年招聘计划”,其中包含一个excel电子表格, 里面具有零日漏洞利用flash文件.一位员工或者更多位员工打开了这个文件,认为这是合法邮件.然后这个漏洞利用程序就检索到用户帐号和密码,并建立了到SecureID服务器的链接, 将从那里收集到的数据文件移交到托管供应商提供的受攻击的服务器上.从那里,数据被转移到一个远程服务器.
值得注意的是,事实上,RSA能够在这个过程中发现这个泄漏事故,并且在接近实时的时候制止事故发生(虽然它不能够防止某些敏感信息被泄露). 这种防御能力的建立是因为RSA不只是查看登录授权和登录凭证,而且还会监控和分析所有从网络流出的流量.因此,RSA能够确定这种连接正在对敏感数据进行未经授权的使用,并且能够迅速切断连接.
实时监控和分析是关键
这种实时监控和分析是确保抵御新时代数据泄露的关键所在, 但是现在很少有企业已经部署了这种实时监控和分析.我们几乎不可能防止像这起事故中的这种人为错误, 例如用户打开被感染的文件等.所有传统的安装在电脑上的杀毒软件或者反恶意程序软件解决方案(例如McAfee和赛门铁克等)都无法预防这种事故的发生.随着这种所谓的高级持续性攻击变得越来越复杂(通常是受到国家政府自准或者其他资金充足的黑客), 数据丢失的类型和数量还将继续增加.You are previewing premium content. Become an Insider to read the full article. You are viewing Insider content. Browse other Insider articles
如果企业想要保护他们最宝贵的资产的话,数据保护必须从根本上进行显著的改善. 现在保护你的端点安全已经不足以保护数据, 必须强制性部署新的方法,例如在数据流出企业防火墙之前对所有数据进行监控和检查, 并且对数据进行评估,判断数据是否能够提供给企业外部(包括受信任的远程用户).这要求高速数据包拦截, 检查和评估, 并必须在实时情况下进行,才能确保有效的保护.这也是为什么很多安全公司(例如赛门铁克等)正在转移到更多的基于云服务的交互中.这也是为什么很多公司(例如思科等)正在转型为安全公司以及网络基础设施公司.
随着越来越多的企业开始采用以云服务为中心的网络架构, 采用这种不断更新的安全技术更是至关重要. 提供基于云访问的企业,不管是通过内部服务器还是服务供应商,都必须部署基于网络的”看门狗”服务,否则他们将面临越来越多的数据泄露以及未被发现的漏洞.为了提供这种服务,RSA已经宣布他们正在计划收购NetWitness公司, 这是一家通过网络监控所有数据包, 解构数据包以及更具预先设定的规则来评估内容的公司. 然后会阻止或者允许数据流出企业网络,所有过程都是在实时进行的. 事实上, RSA公司已经使用了这种技术来发现和阻止对SecurID的攻击, 几近实时.
在这个超连通的世界中, 我们必须使用实时数据监控和分析来保护数据, 通过分析数据内容和行为, 在数据被泄露之前,制止泄漏事故的发生, 而不管造成这种事故发生的是人为失误还是技术错误.其他云服务供应商,例如思科, 微软和亚马逊等, 都必须有一个类似的解决方案,否则将面临着不利的竞争位置(巨大的安全漏洞). 当然, 归EMC所有的RSA公司将毫不迟疑地将这个功能作为其基于云服务产品系列的关键组成部分. 注重安全的企业比粗部署这种服务,如果他们想要保护他们的数据防止丢失的话. 私有云(例如,哪些位于企业防火墙后面的)鼻息包含一个实时数据监控组件来提供新一代安全和数据泄露防护.
底线
在与技术日益复杂的黑客的无休止的斗争中, 以及面对越来越多的数据泄漏事故(甚至不会被发现),企业必须迁移到新的安全模式以保护数据安全.虽然传统的端点解决方案并不会消失, 但是它们并不能阻止变得越来越普遍的网络钓鱼攻击, 利用人为失误的高级持续性攻击以及零日攻击. 实时数据包监控(用于分析和控制网络中的数据)是确保企业资产安全的下一个重要步骤. 这个重要步骤必须成为所有企业安全操作中的组成部分,特别是在基于云服务的系统中. 这也是发现和制止日益复杂的攻击(主要是来自资金充足的专家及黑客的攻击)的唯一方法.
未经允许不得转载:DOIT » RSA SecurID数据泄露事故并非无迹可寻
